Autore: Redazione SecurityOpenLab
Sembra superfluo, nel 2024, dover ancora dibattere sull’importanza del backup. Lo scenario è talmente chiaro da non lasciare adito a dubbi: la continuità operativa delle aziende (o resilienza informatica, che è più alla moda), sia pubbliche che private, oggi prescinde direttamente dalla disponibilità di un backup puntuale, funzionate, immutabile e testato. Quattro aggettivi da non sottovalutare per diversi motivi, dei quali hanno fornito ampie spiegazioni le aziende che abbiamo interpellato per questo speciale.
Perché quindi parliamo di backup? Per lo stesso motivo per il quale è ancora necessario un World Backup day celebrato annualmente in tutto il mondo: lo stato dell’arte delle politiche di backup in azienda è lontano dall’eccellere. E i continui cambiamenti degli attacchi e delle infrastrutture non fanno che rendere inadeguate e inefficaci le soluzioni non aggiornate. Con buona pace di chi pensa ancora che un investimento una tantum sia più che sufficiente per archiviare la pratica delle copie di sicurezza per qualche anno o addirittura oltre.
La necessità di una strategia di backup parte da due fattori: il bisogno di tutelare le aziende dagli attacchi cyber e dalle catastrofi naturali. La seconda sfaccettatura è facile da gestire: è sufficiente creare un sito di backup geograficamente lontano dal primo per mettere in sicurezza la copia dei dati da alluvioni, incendi, terremoti e via discorrendo. Sul fronte cyber le cose non sono affatto semplici.
Può sembrare brutale, ma anche la migliore difesa informatica non può fermare – e non lo fa – tutti gli attacchi cyber. Qualcuno riuscirà sempre a superare la barriera d’ingresso e a introdursi nella infrastruttura. Da qui i danni che possono causare gli attaccanti sono direttamente proporzionali al tempo che impiegano le difese a identificare l’intrusione, e in subordine alle misure che verranno attuate (automaticamente o non) per circoscrivere i danni. Uno dei danni maggiori che gli attaccanti posso fare - e che cercano quasi sempre di fare – è neutralizzare le copie di backup, a prescindere da dove siano fisicamente archiviati i file.
Se il backup è stato puntuale, funzionate, immutabile e testato, e se la strategia di backup è stata studiata bene, si potrà avere una ragionevole aspettativa di una ripresa veloce a seguito di un attacco cyber. Purtroppo sono piene le cronache di situazioni in cui il ripristino dei backup non è andato a buon fine, o ha richiesto talmente tanto tempo da rendere meno dispendioso pagare un riscatto agli attaccanti nella speranza che consegnassero le chiavi di cifratura.
Questo dà l’idea di quanto sia difficile il compito delle aziende specializzate in backup, che va ben oltre la vendita di un prodotto. Il loro ruolo è prima di tutto consulenziale, perché oggi il backup – come tutto quello che riguarda la cybersecurity – non è più identificabile in un prodotto. Sia per il ritmo con il quale le aziende generano dati, sia per la frammentazione delle infrastrutture, in cui i dati non si trovano più in un solo punto.
Posto che i backup debbano essere immutabili, è necessario anche scegliere di che cosa conservare copia, con quale frequenza, dove e predisporre piani di disaster recovery con protocolli, ruoli e risorse chiari. Di tutto questo si occupa fase consulenziale, che parte dall’analisi del rischio, dagli asset presenti e delle esigenze operative e che può essere svolta anche da consulenti terzi che si occupano di servizi gestiti, soprattutto nei casi, sempre più frequenti, di backup in cloud.